Articolul 32 (1)(d) – revizie

Am mai scris despre subiectul acesta, dar acum prezint perspectiva auditorului. Am „construit„ un instrument de lucru (să îi spunem „working program„) (acum în Excel, în curînd în SharePoint) care să mă ajute atunci cînd, în cadrul unei misiuni de audit, ajung și la subiectul „protecția datelor personale„. Abordarea folosită este din teorie (COBIT+BMIS+ISO27701+Ghiduri WP29):…

Noul ordin MCSI pentru IB – cîteva observații (riscuri)

Pe 14 iunie, în Monitorul Oficial se publica ORDIN  Nr. 553/2019 din 5 iunie 2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanţă. Pentru că proiectul a fost în consultare publică, pe 2 aprilie am trimis către MCSI punctul meu de vedere. Am constatat că s-a ținut cont de…

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice

După lecturarea si analizarea legii de mai multe ori pot spune că este stufoasă, neclară ca terminologie și….pe ici pe colo incompletă. Doar două argumente: majoritatea intră sub incidența GDPR și acolo există o terminologie/cerințe. Băncile au reglementări/recomandări/ghiduri specifice (a se vedea EBA) Mi-aș fi dorit să regăsesc în lege sintagme precum: „stadiul actual al…

Ce mai freamăt, ce mai zbucium! Codrul clocoti de zgomot şi de arme şi de bucium (- GDPR)

Amintiri În primele zile ale lunii aprilie 2016 eram la Lisabona la ISACA Global Leadership Summit. Subiectul „hot„ între participanți era „GDPR„. În pauze, foarte mulți se întrebau între ei: „Și, cum veți face? Care este situația la tine în țară?„. Nu știam nimic! Despre subiectul „protecția datelor personale„ aveam cunoștințele necesare pentru ISO27001 sau…

GDPR: testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice

După cum am scris în ultimul timp, asigurarea conformității cu cerințele GDPR nu va fi nici ieftină nici simplu de pus în practică. Articolul 32 Securitatea prelucrării, alin (1) pct d) impune ca la nivelul operatorilor și persoanelor împuternicite, să existe, printre altele un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice…